SNW07秋季：安全问题引起众人共鸣

　　最近Iron Mountain和Student Financial Assistance在路易斯安那的办公室都卷入了数据磁带丢失的事件之中，这一背景让与会者意识到存储安全漏洞会在多大程度上影响他们的工作，并且意识到自己应该采取些行动来控制这种情况的出现。

　　很多与会者是因为出名的电影《猫鼠游戏》（Catch Me If You Can）认识Keynote发言人Frank Abagnale的，他用幽默的语调讲述了一名青少年如何在疏于防范的环境中冒充飞行员和儿科牙医的故事。Abagnale坚持认为欺诈和身份窃贼一直是很严重的问题，企业不应该忽略它们所带来的风险。

　　很多用户都忽略了存储安全问题，TD Ameritrade的会议显示出它所带来的问题可能比传统的操作系统和网络安全问题更严重。存储安全性的第一步包括检查潜在的安全漏洞，保护个人对数据的合法访问，并且把这些行动和对网络协议、存储设备和操作系统的支持结合在起来。

　　日立的Andrew Nielsen做了一个存储安全性专题讲座，吸引了满堂的听众，他介绍了多种数据中心安全问题：来自内部和外部持续的攻击、高密度存储设备带来的信息集中、自动化的应用，数据保护和隐私管理法规等。

　　Nielsen表示安全需要可审查的能力和可量化的能力、访问控制、完整性和资产可用性，以及一套完整的综合方法。第一步是平衡安全性和兼容性，使用ISO、CoBIT、NIST和ITIL提供的安全架构，并且借鉴最佳经验。这些经验包括识别并评估所有的存储接口，创建风险域，监控物理访问、避免由于公共错误造成的失败、执行灾难恢复计划和业务连续性计划、分配存储并设置策略。

　　他表示，安全性是人的问题，存储网络中最大的安全风险也许并不那么显而易见。Nielsen建议与会者关注内部攻击、保护重要的、受管制的数据、并且为数据保护事故做好详细的准备计划。

　　EMC的Arthur Coviello表示安全应当是风险管理策略的一部分，它是存储专业人士用来审查行为的一个系统，起草一个风险管理策略、理顺执行过程、实行一个IT安全策略。他表示，发现、分类、监控、执行和审核是策略的组成部分，并将最终实现信息共享。

　　市场调查企业TheInfoPro的CEO Ken Male表示，身份和访问管理是存储和安全专业人士所关心的问题。研究和评估列表里的安全技术包括终端身份认证、数据加密和安全信息和事件管理。他表示，灾难恢复、业务连续性和安全性都推动了网络的发展。

　　与会者还在本届SNW大会上了解了其他一些相关的主题，例如加密和密钥管理等。

　　数据加密可以从今天的数据加密存储产品一直追溯到古希腊和古罗马时代的密码术。赛门铁克的Roger Cummings逐步地介绍了如何有效地对静止数据进行加密（位于服务器或者存储系统上），包括对数据资产进行盘点和分类，在应用、文件系统、网络和设备的层面选择加密的点。

　　用户对开发密钥管理的架构也非常感兴趣。LSI的Walt Hubis 展示了密钥管理的最佳经验：限制密钥的使用、将密钥加密密钥和数据加密密钥区分开，在密钥的分发、运作和部署过程中做好防护。SNW的实验室还让用户可以对笔记本安全问题有了直观的感性认识。

　　信息管理功能和长期存档一样，在存储安全性中也占据了一席之地，CipherMax 和Spectra Logic等厂商展示了一些方案，这些方案将加密和密钥管理结合在一起，提供了经济实惠的集成存储加密解决方案。在这次大会上，Seagate、LSI和IBM展示了在企业级驱动器加密方面的合作，NeoScale和Reconnex也展示了他们的安全产品。